app e privacy
TRANSCRIPT
APP E PRIVACY ISTRUZIONI PER L'USO
Avv. Roberta Rapicavoli
QUATTRO DOMANDE SULLA PRIVACY...
1) CHI? 2) QUANDO? 3) COME? 4) PERCHE’?
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...CHI
Titolare del trattamento “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”
Art. 4 lett. f) D. Lgs. 196/2003 (codice privacy)
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...CHI
Con riferimento alle app mobile?
Il Titolare è la società “proprietaria dell’applicazione” che sviluppa o commissiona lo sviluppo di app, ne determina le finalità ed esercita il controllo sulle modalità del trattamento e le misure di sicurezza
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...CHI
Con riferimento alle app mobile? Attenzione però agli ulteriori “attori”: - Sviluppatori - Distributori di applicazioni (app store) - Produttori di sistemi operativi e dispositivi - Altri terzi nel caso coinvolti
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...CHI
“Un forte rischio per la protezione dei dati deriva inoltre dal grado di frammentazione tra i molti attori nello scenario dello sviluppo di applicazioni, che comprendono sviluppatori e proprietari di applicazioni, app store, produttori di sistemi operativi (OS) e dispositivi e altri soggetti terzi che possono essere coinvolti nella raccolta e nel trattamento di dati personali da dispositivi intelligenti, quali fornitori di servizi analitici e pubblicità”.
Parere del Gruppo di lavoro per la tutela dei dati del 27 febbraio 2013 “sulle applicazioni per i dispositivi intelligenti”
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...QUANDO
Trattamento di dati personali Trattamento? qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
Art. 4 lett. a) D. lgs. 196/2003 (codice privacy)
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...QUANDO
Trattamento di dati personali Dati personali? qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
Art. 4 lett. b) D. lgs. 196/2003 (codice privacy)
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...QUANDO
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
DATI CONFERITI DIRETTAMENTE DALL’UTENTE
Con riferimento alle app mobile?
...QUANDO
DATI CONTENUTI NEI DISPOSITIVI
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Con riferimento alle app mobile?
DATI CONTENUTI SUI DISPOSITIVI
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Accesso o registrazione di informazioni sul terminale dell'utente
DIRETTIVA E-PRIVACY - ART. 122 CODICE PRIVACY
...COME
Rispetto dei principi di base previsti dal codice privacy: - Liceità - Finalità - Necessità - Proporzionalità
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...COME
Rispetto dei principi di base previsti dal codice privacy:
Con riferimento alle app mobile?
- I criteri per la progettazione dovrebbero comprendere l’attuazione del principio del privilegio minimo per default
- Definizione del periodo di conservazione dei dati raccolti
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
...COME
Adempimenti previsti dalla normativa: - Informativa (art. 13 codice privacy) - Consenso (art. 23 codice privacy) - Misure di sicurezza (artt. 31 e ss. codice privacy) - Nomine (artt. 29 e 30 codice privacy)
- Verifica preliminare (art. 17 codice privacy) - Notificazione (art. 37 codice privacy)
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
INFORMATIVA PRIVACY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
- Deve contenere tutte le specifiche legate al trattamento
(indicate nell’art. 13 del codice privacy) - Deve essere leggibile, comprensibile e facilmente
accessibile - Deve essere fornita prima del trattamento e poi resa
sempre accessibile
INFORMATIVA PRIVACY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Con riferimento alle app mobile?
In quale momento rendere disponibile il testo dell’informativa?
INFORMATIVA PRIVACY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
“Naturalmente esistono alcune limitazioni alla quantità di informazioni che si possono presentare su un piccolo schermo, ma questo non giustifica il fatto di non informare adeguatamente gli utenti finali. Si possono adottare numerose strategie per garantire che gli utenti siano a conoscenza degli elementi fondamentali del servizio”
(Parere gruppo di lavoro 2/2013 citato)
• Informative multi-livello • Link a informativa completa su sito web • Finestre modali
INFORMATIVA PRIVACY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Ruoli fondamentali individuati dal gruppo di lavoro art. 29 Titolare trattamento: definizione contenuto e controllo su gestione informativa Sviluppatore: Programmazione e progettazione di idonee strutture per consentire la gestione dell’informativa nel sistema – “privacy by design” App store: Garantire un’informazione corretta
CONSENSO AL TRATTAMENTO
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Il trattamento dei dati personali è ammesso solo con il consenso espresso dell’interessato salvo che ricorra una delle ipotesi di cui all’art. 24 del codice privacy
CONSENSO AL TRATTAMENTO
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
CONSENSO AL TRATTAMENTO
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
E’ sufficiente cliccare sul tasto “installa” per considerare acquisito il consenso al trattamento dei dati?
CONSENSO AL TRATTAMENTO
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
“Molti app store offrono agli sviluppatori l'opportunità di informare gli utenti finali in merito alle funzioni di base di un'applicazione prima della sua installazione e richiedono un'azione positiva dell'utente prima che l'applicazione venga scaricata e installata (ossia cliccare su un tasto "installa")”. Un'azione di questo tipo “è improbabile che fornisca informazioni sufficienti per la validità del consenso ai fini del trattamento di dati personali”
(Parere gruppo di lavoro 2/2013 citato)
GLOBAL PRIVACY SWEEP DAY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
INDAGINE SVOLTA DA 26 AUTORITA' PER LA PRIVACY DI TUTTO IL MONDO
Preso in esame un campione di oltre 1200 app mobile dal 12 al 18 maggio 2014
GLOBAL PRIVACY SWEEP DAY
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
ALCUNI DEI RISULTATI: - Nel 59% dei casi difficoltà nel reperire un'informativa privacy prima dell'installazione - Per quasi 1/3 delle app (31%) problematici i termini del consenso
- Nel 43% dei casi informativa privacy non adattata alle ridotte dimensioni del monitor
- Assai contenuta (15%) la percentuale di app dotate di un'informativa privacy realmente chiara
... PERCHE’
Reputation e fidelizzazione - Web reputation - Acquisizione/fidelizzazione utenti - Meccanismi di reputazione in base a sistema di
recensioni sulla privacy
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it
... PERCHE’ Sanzioni amministrative ad esempio: - Omessa o inidonea informativa: sanzione
amministrativa del pagamento di una somma da 6 a 36.000 euro (cfr. art. 161 codice privacy)
Responsabilità penali Ad esempio: - Omessa adozione delle misure minime di sicurezza:
arresto sino a 2 anni
Avv. Roberta Rapicavoli | @RRapicavoli | robertarapicavoli.it